AireOSコントローラを使用したDNAスペースキャプティブポータルの設定例

概要

このドキュメントでは、AireOSコントローラでCisco DNA Spacesを使用してキャプティブポータルを設定する方法について説明します。

著者：Cisco TACエンジニア、Andres Silva

前提条件

要件

次の項目に関する知識があることが推奨されます。

• ワイヤレスコントローラへのコマンドラインインターフェイス(CLI)またはグラフィックユーザインターフェイス(GUI)アクセス
• Cisco DNA Spaces

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• 5520 Wireless LAN Controllerバージョン8.10.112.0

設定

ネットワーク図

設定

WLCをCisco DNAスペースに接続する

コントローラは、使用可能なセットアップのDirect Connect、DNA Spaces ConnectorまたはCMX Tezeringのいずれかを使用して、DNA Spaceに接続する必要があります。

この例では、Direct Connectオプションが使用されていますが、キャプティブポータルはすべての設定で同じ方法で設定されています。

コントローラをCisco DNA Spacesに接続するには、HTTPS経由でCisco DNA Spacesクラウドに到達できる必要があります。コントローラをDNA空間に接続する方法の詳細については、次のリンクを参照してください。DNA空間の直接接続の設定例

DNA空間にSSIDを作成する

ステップ1:DNAスペースのダッシュボードで[Captive Portals]をクリックします。

ステップ2：キャプティブポータルメニューを開くには、ページの左上にある3つの回線アイコンをクリックし、SSIDをクリックします。

ステップ3:[Import/Configure SSID]をクリックし、[Wireless Network]タイプとして[CUWN (CMX/WLC)]を選択し、SSID名を入力します。

コントローラでのACL設定

事前認証ACLが必要です。これはWeb認証SSIDであり、ワイヤレスデバイスがSSIDに接続してIPアドレスを受信すると、デバイスのポリシーマネージャの状態がWebauth_Reqd状態に移行し、ACLがクライアントセッションにに適用されます。

ステップ1:[Security] > [Access Control Lists] > [Access Control Lists]に移動し、[New]をクリックし、ワイヤレスクライアント間の通信をDNA Spacesに許可するルールを次のように設定します。IPアドレスを、使用しているアカウントのDNAスペースで指定されたアドレスに置き換えます。

注：ACLで許可するDNA空間のIPアドレスを取得するには、「ACLの設定」セクションの「DNA空間にSSIDを作成する」セクションのステップ3で作成したSSIDからConfigure Manuallyオプションをクリックします。

SSIDは、RADIUSサーバを使用するように設定することも、RADIUSサーバを使用せずに設定することもできます。キャプティブポータルルールの設定のActionsセクションでSession Duration、Bandwidth Limit、またはシームレスなProvision Internetが設定されている場合、SSIDをRADIUSサーバで設定する必要があります。設定されていない場合は、RADIUSサーバを使用する必要はありません。DNA Spaceのすべての種類のポータルは、両方の構成でサポートされています。

DNAスペース上のRADIUSサーバのないキャプティブポータル

コントローラのSSID設定

ステップ1:[WLAN] > [WLANs]に移動します。新規 WLAN を作成してください。プロファイル名とSSIDを設定します。SSID名が、「DNAスペースでのSSIDの作成」の項のステップ3で設定した名前と同じであることを確認してください。

ステップ2：レイヤ2セキュリティを設定します。WLAN設定タブのSecurity > Layer 2タブに移動し、Layer 2 SecurityのドロップダウンメニューからNoneを選択します。MACフィルタリングが無効になっていることを確認します。

ステップ3：レイヤ3セキュリティを設定します。[WLAN configuration]タブの[Security] > [Layer 3]タブに移動し、[Web Policy]を[Layer 3 security method]に設定し、[Enable Passthrough]に設定し、事前認証ACLを設定し、[Override Global Config]に[Web Auth Type]を[External]、[Redirect URL]]

注：リダイレクトURLを取得するには、「SSIDの設定」セクションの手順3で作成したSSIDからConfigure Manuallyオプションをクリックします。

DNAスペース上のRADIUSサーバを使用したキャプティブポータル

注：DNA Spaces RADIUSサーバは、コントローラからのPAP認証のみをサポートします。

コントローラでのRADIUSサーバの設定

ステップ1:[Security] > [AAA] > [RADIUS] > [Authentication]に移動し、[New]をクリックしてRADIUSサーバ情報を入力します。Cisco DNA Spacesは、ユーザ認証のためにRADIUSサーバとして機能し、2つのIPアドレスで応答できます。両方のRADIUSサーバを設定します。

注：プライマリとセカンダリの両方のサーバのRADIUS IPアドレスと秘密キーを取得するには、「DNAスペースにSSIDを作成する」セクションのステップ3で作成したSSIDからConfigure Manuallyオプションをクリックし、「RADIUSサーバの設定」セクションにに移動します。

ステップ2：アカウンティングRADIUSサーバを設定します。[Security] > [AAA] > [RADIUS] > [Accounting]に移動し、[New]をクリックします。両方のRADIUSサーバを同じ設定にします。

コントローラのSSID設定

重要：SSIDの設定を開始する前に、[Controller] > [General]で[Web Radius Authentication]が[PAP]に設定されていることを確認します。

ステップ1:[WLAN] > [WLANs]に移動します。新規 WLAN を作成してください。プロファイル名とSSIDを設定します。SSID名が、「DNAスペースでのSSIDの作成」の項のステップ3で設定した名前と同じであることを確認してください。

ステップ2：レイヤ2セキュリティを設定します。WLAN設定タブで[Security] > [Layer 2]タブに移動します。レイヤ2セキュリティを[None]に設定します。MAC フィルタリングの有効化.

ステップ3：レイヤ3セキュリティを設定します。[WLAN configuration]タブの[Security] > [Layer 3]タブに移動し、[Web Policy]を[Layer 3 security method]に設定し、[Enable On Mac Filter failure]に設定し、事前認証ACLを設定し、[Override Global Config]に[Web Auth Type]を[External]、[にを設定設定してリダイレクトURL

ステップ4:AAAサーバを設定します。WLAN設定タブのSecurity > AAA Serversタブに移動し、Authentication ServersとAccounting Serversを有効にし、ドロップダウンメニューから2つのRADIUSサーバを選択します。

ステップ6:Web認証ユーザの認証優先順位を設定します。WLAN設定タブで[Security] > [AAA Servers]タブに移動し、RADIUSを最初に順番に設定します。

ステップ7:WLAN設定タブのAdvancedタブに移動し、Allow AAA Overrideを有効にします。

DNA空間にポータルを作成

ステップ1:DNAスペースのダッシュボードで[Captive Portals]をクリックします。

ステップ2:[Create New]をクリックし、ポータル名を入力して、ポータルを使用できる場所を選択します。 

ステップ3：認証タイプを選択し、ポータルのホームページにデータ取得とユーザー契約を表示するかどうか、およびユーザーがメッセージを受信するためにオプトインすることを許可するかどうかを選択します。[Next] をクリックします。

ステップ4：データキャプチャ要素を設定します。ユーザーからデータを取得する場合は、「データ取り込みを有効にする」チェックボックスをオンにして、[+フィールド要素の追加]をクリックし、目的のフィールドを追加します。[Next] をクリックします。

ステップ5:[Enable Terms & Conditions]をオンにし、[Save & Configure Portal]をクリックします。

ステップ6：必要に応じてポータルを編集し、[Save]をクリックします。

DNAスペースのキャプティブポータルルールの設定

ステップ1：キャプティブポータルメニューを開き、[キャプティブポータルルール]をクリックします。

ステップ2:[+ Create New Rule]をクリックします。ルール名を入力し、以前に設定したSSIDを選択し、このポータルルールが使用できる場所を選択します。

ステップ3：キャプティブポータルのアクションを選択します。この場合、ルールがヒットすると、ポータルが表示されます。[保存&公開]をクリックします。

確認

SSIDに接続されているクライアントのステータスを確認するには、[Monitor] > [Clients]に移動し、MACアドレスをクリックして[Policy Manager State]を探します。

トラブルシュート

次のコマンドは、テストの前にコントローラで有効にして、クライアントの関連付けと認証プロセスを確認できます。

(5520-Andressi) >debug client 
     
      
      
 
     (5520-Andressi) >debug web-auth redirect enable mac 
     
     

次に、RADIUSサーバを持たないSSIDに接続している間に、アソシエーション/認証プロセスの各フェーズを正常に識別しようとした場合の出力を示します。

802.11アソシエーション/認証：

*apfOpenDtlSocket: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Received management frame ASSOCIATION REQUEST on BSSID 70:d3:79:dd:d2:0f destination addr 70:d3:79:dd:d2:0f slotid 1
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Updating the client capabiility as 4
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 Processing assoc-req station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 ssid : AireOS-DNASpaces thread:bd271d6280
*apfMsConnTask_5: Apr 09 21:49:06.227: 34:e1:2d:23:a6:68 CL_EVENT_ASSOC_START (1), reasonCode (1), Result (0), Ssid (AireOS-DNASpaces), ApMac (70:d3:79:dd:d2:00), RSSI (-72), SNR (22)
*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Sending assoc-resp with status 0 station:34:e1:2d:23:a6:68 AP:70:d3:79:dd:d2:00-01 on apVapId 1

DHCPおよびレイヤ3認証：

*apfMsConnTask_5: Apr 09 21:49:06.228: 34:e1:2d:23:a6:68 Mobility query, PEM State: DHCP_REQD
*webauthRedirect: Apr 09 21:49:51.949: captive-bypass detection enabled, checking for wispr in HTTP GET, client mac=34:e1:2d:23:a6:68
*webauthRedirect: Apr 09 21:49:51.949: captiveNetworkMode enabled, mac=34:e1:2d:23:a6:68 user_agent = AnyConnect Agent 4.7.04056
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Preparing redirect URL according to configured Web-Auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- unable to get the hostName for virtual IP, using virtual IP =192.0.2.1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Checking custom-web config for WLAN ID:1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Global status is 0 on WLAN 
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- checking on WLAN web-auth type
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Web-auth type External, using URL:https://splash.dnaspaces.io/p2/mexeast1
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added switch_url, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added ap_mac (Radio ), redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00
*webauthRedirect: Apr 09 21:49:51.949: 34:e1:2d:23:a6:68- Added client_mac , redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Added wlan, redirect URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wla
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- http_response_msg_body1 is <HTML><HEAD><TITLE> Web Authentication Redirect</TITLE><META http-equiv="Cache-control" content="no-cache"><META http-equiv="Pragma" content="
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- added redirect=, URL is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=Ai
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- str1 is now https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23:a6:68&wlan=AireOS-DNASpaces&r

*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Message to be sent is
HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- 200 send_data =HTTP/1.1 200 OK
Location: https://splash.dnaspaces.io/p2/mexeast1?switch_url=https://192.0.2.1/login.html&ap_mac=70:d3:79:dd:d2:00&client_mac=34:e1:2d:23
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- send data length=688
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- Url:https://splash.dnaspaces.io/p2/mexeast1 
*webauthRedirect: Apr 09 21:49:51.950: 34:e1:2d:23:a6:68- cleaning up after send

レイヤ3認証が成功したら、クライアントをRUN状態に移行します。

*emWeb: Apr 09 21:49:57.633: Connection created for MAC:34:e1:2d:23:a6:68
*emWeb: Apr 09 21:49:57.634: 
ewaURLHook: Entering:url=/login.html, virtIp = 192.0.2.1, ssl_connection=0, secureweb=1

*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 WEBAUTH_NOL3SEC (14) Change state to RUN (20) last state WEBAUTH_NOL3SEC (14)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_WEB_AUTH_DONE (8), reasonCode (0), Result (0), ServerIp (), UserName ()
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 CL_EVENT_RUN (9), reasonCode (0), Result (0), Role (1), VLAN/VNID (20), Ipv4Addr (10.10.30.42), Ipv6Present (No)
*ewmwebWebauth1: Apr 09 21:49:57.634: 34:e1:2d:23:a6:68 10.10.30.42 RUN (20) Successfully plumbed mobile rule (IPv4 ACL ID 255, IPv6 ACL ID 255, L2 ACL ID 255,URL ACL ID 255,URL ACL Action 0)

*emWeb: Apr 09 21:49:57.634: User login successful, presenting login success page to user